10 月 29 日墨菲安全作为 OSCS 社区创始成员发起首届 OSCS 技术论坛于北京中关村创业大街圆满举办。本次论坛联合思否、CSDN、OSChina、51CTO、InfoQ、IT168 等媒体及社区深度合作,共吸引了 3 万余名观众观看,会上中国信通院、知名开源专家谭中意、蚂蚁、快手的安全专家与墨菲安全技术专家围绕开源项目安全治理、软件供应链安全体系建设、企业软件供应链安全实践进行了精彩分享。本次大会圆满举办,感谢多方媒体、企业、开源社区等合作伙伴,以及关注 OSCS 的每一个小伙伴的大力支持。
一、开场致辞
墨菲安全创始人,OSCS 开源社区发起人章华鹏在致辞中带大家深入浅出的了解了软件供应链安全的概念及背景、面临的风险。基于其十余年安全建设相关经验,剖析了软件供应链安全现状,以及企业面临的问题、痛点。通过实践案例生动的讲述了供应链安全的普遍应用以及价值。OSCS 在软件供应链的这条长链路上倡导让每一个开源项目更安全,也希望能让每一个开发者能够更安全地去使用每一个开源项目,共同期待更健康、安全的开源生态。
章华鹏,墨菲安全创始人,OSCS 开源安全社区发起人
二、议题回顾
中国信通院云大所开源和软件安全部副主任郭雪老师本次分享其团队对于软件供应链安全研究背景的研究及软件供应链安全标准体系化建设的相关工作内容,对于软件供应链安全生态建设针对行业治理现状给出了独特的见解与分析。
郭雪,中国信通院云大所开源和软件安全部副主任(主持工作)
谭中意老师从国际角度介绍了开源供应链相关的背景知识及具体案例,讲解了目前国际环境下开源供应链所面临的风险与挑战以及我们如何根据国际标准 OpenChain 来构建安全的软件供应链。
谭中意,第四范式架构师,开源专家,OpenChain中国工作组联合创始人
边立忠老师为大家带来从流程管控、研发生命周期、风险检测、纵深防御等多个维度多视角介绍了蚂蚁集团在软件供应链安全建设、解决供应链的安全风险方面的实践以及对于 Log4j 漏洞处置的经典案例剖析。
边立忠,蚂蚁集团高级安全专家,蚂蚁集团应用安全产品中台负责人
来自墨菲安全的欧阳强斌老师带大家从供应链到软件供应链了解当下安全风险现状,浅谈软件供应链安全的过去、现在和将来,分享墨菲安全是如何打造最实用的软件供应链安全产品。深入浅出的剖析软件供应链安全核心技术原理和解决方案,介绍相关企业风险治理实践的思路。
欧阳强斌,墨菲安全联合创始人、墨菲安全实验室负责人
来自快手安全团队的吴圣老师通过快手安全团队的真实实践经验,介绍了如何进行第三方软件的资产识别,带领我们学习如何对于第三方软件的来源、实现进行安全性评估以及对部署分发的过程进行管控,全方位的介绍如何通过对运行维护过程中的进行监控等方式提升第三方软件的安全性。
吴圣,快手基础安全负责人
三、论坛分享
论坛由章华鹏进行主持,邀请李孟,仙翁科技大数据架构师,Apache Linkis Committer;程岩,蚂蚁集团资深安全专家;王书魁,小米信息安全与隐私部负责人(顺序由左至右)参与本次论坛。我们知道当前软件供应链安全是一个很大的话题,国内大家更多在提SCA、开源安全治理,海外也在提一些更前沿的概念,比如基于 sigstore 技术实现的软件持续安全验证的产品Chainguard;软件供应链也是近两年突然被关注,包括近期欧美也出台了软件供应链安全相关的法规,美国白宫的备忘录要求供应商自证安全、欧盟要求产品提供sbom,否则最 高可以处罚1500万欧元或全球营收2.5%,大家以不同角色视角共同探讨了上述问题及全球软件供应链安全治理方向、未来发展趋势。
章华鹏,墨菲安全创始人,OSCS 开源安全社区发起人(左一)
李孟,仙翁科技大数据架构师,Apache Linkis Committer(左二)
程岩,蚂蚁集团资深安全专家(左三)
王书魁,小米信息安全与隐私部负责人(右一)
关于OSCS
OSCS 技术能力由墨菲安全技术支持,墨菲安全免费为开发者、开源项目等提供三方组件的安全检测、许可证合规评估等能力,提供客户端、GitHub、IDEA 插件等多种检测方式。目前客户端工具(murphysec)已在 GitHub 上开源,同时支持快速便捷的与 Gitlab、Jenkins CICD 流程进行集成,目前已支持 Java、JavaScript、Golang、Python、PHP、C#、Ruby、Objective-C、.NET 等语言项目的检测。
OSCS社区致力于联合社区安全白帽子帮助每一个开源项目变的更安全,也让每一个开发者更安心的使用开源项目。OSCS 提供及时发现开源社区安全风险以及一键pr的能力,希望更多更多的开发者能够加入开源安全的行列,共筑安全可持续的开源生态!欢迎大家加入 OSCS,一起为开源安全贡献一份力量!